Active directory 使用未绑定的LDAP SDK for Java解析Active Directory中的ForeignSecurityPrincipal

我试图通过未绑定的LDAP SDK for Java（）使用LDAP接口将ForeignSecurityPrincipals解析为Active Directory服务器网络中的用户对象

我想做的是：

• 导入组
• 导入该组中的所有用户
  • 解析作为成员包含的所有ForeignSecurityPrincipal

导入组很容易，但该组包含一些作为成员的ForeignSecurityPrincipal。首先必须使用主体objectSID将这些对象解析为“真实”用户对象

据我所知，ForeignSecurityPrincipal指向驻留在不同服务器上的另一个对象，必须解决这个问题。根据这里的指南（），我应该收集所有信任父对象，然后遍历它们来搜索用户对象。不幸的是，在我们的例子中，这不会导致找到任何用户

由于我掌握的其他信息，我知道用于测试的特定用户驻留在哪个服务器中，但我甚至无法在原始服务器的信任父列表中找到该服务器。我以全局目录的形式访问我的服务器，因此，据我所知，我应该能够找到驻留在整个网络上的所有内容。对吗

请注意，主体引用的组和用户驻留在两个完全不同的树中，而不是彼此的子树中。（例如，组位于foo.com域中，用户位于acme.net域中）

是否有人有在Active Directory中查找ForeignSecurityPrincipals的经验，并可以提供有关我可能遗漏了哪些步骤或忽略了哪些问题的指导

谢谢

ForeignSecurityPrincipals（FSP）代表当前林外部的安全主体。所以在大多数情况下，您不能在当前林中使用GC解析FSP，因为GC只包含其林中的所有对象

据我所知，FSP中获取安全主体的唯一提示是objectSid属性中的SID。似乎没有简单的方法可以使用来自外部林的SID返回包含的林/域

一种不太容易的方法是构建一个域SID到域映射

但它在PowerShell中（我不知道您提到的SDK）。一般概念是遍历受信任林中的每个域并构建域SID映射。之后，您知道SID来自何处，然后可以在目标域上进行搜索以取回该帐户。您可以尝试理解代码并将其移植到首选语言